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I. INTRODUCTION 

1 . En I'espace de 25 ans, le cyberespace est devenu un element incontournable de la vie 
moderne. Ayant acquis une place a part entiere dans I'economie mondiale, il a redynamise la 
societe civile dans le monde industrialise, fait naitre des revolutions dans les pays en 
developpement et fourni aux pouvoirs publics des possibilites nouvelles d'offrir des services a 
leurs administres. Toutefois, parallelement a ces evolutions positives, le nombre de menaces s'est 
considerablement accru, que ce soit celles ayant lieu dans le cyberespace ou centre lui, ou les 
menaces rendues possibles par son existence. La criminalite et I'espionnage sont a n'en pas 
douter les menaces les plus courantes aujourd'hui dans le cyberespace. « Le cout de la 
cybercriminalite et du cyberespionnage pour I'economie mondiale se mesure probablement en 
centaines de milliards de dollars » (CSIS/McAfee, 2013). La subversion politique est un autre 
phenomene qui prend de plus en plus d'ampleur dans le cyberespace. 11 est desormais possible, 
grace a Internet, de mobiliser facilement des sympathisants et d'ebranler pacifiquement la 
confiance des populations dans un systeme politique ; que Ton juge la cause « legitime » ou 
« illegitime » depend evidemment du point de vue de chacun. 

2. Les activites criminelles, I'espionnage industriel ou les actes de subversion commis dans le 
cyberespace constituent rarement des menaces pour la securite nationale. La plupart du temps, 
ces actes interessent les services responsables de I'application de la loi. Le but du present rapport 
est au contraire d'examiner les cybermenaces pouvant avoir un impact direct sur la securite 
nationale. Cette categorie de cybermenaces ne cesse d'augmenter, et les gouvernements du 
monde entier comme les organisations Internationales se demandent comment y faire face. Nous 
nous interesserons done plus specifiquement, dans le present rapport, aux aspects suivants : le 
contexte general des cybermenaces ; les menaces specifiques a I'encontre des forces armees et 
des infrastructures essentielles qui portent directement atteinte a la securite d'un Etat ; les 
mesures de protection eventuelles ; enfin, les perspectives d'un cyberconflit entre Etats. Nous 
examinerons ensuite les initiatives prises par cinq Etats membres de I'OTAN - les Etats-Unis, la 
France, I'Allemagne, le Royaume-Uni et I'Estonie - ainsi que par I'OTAN elle-meme et 
I'Union europeenne (UE), afin d'illustrer comment differents acteurs internationaux font face aux 
cybermenaces. 

3. Le present rapport special a ete prepare pour la Commission des sciences et des 
technologies (STC) de I'Assemblee parlementaire de I'OTAN, pour servir de base a un debat 
transatlantique sur la nature des cybermenaces et la maniere dont la cybersecurite coordonnee et 
collective peut ameliorer la securite de la zone euro-atlantique. Ce projet de rapport permet en 
outre a son auteur de contribuer a la tenue d'un debat public eclaire et realiste sur la question de 
la cybersecurite. II fait suite a de precedents rapports de I'Assemblee sur le meme theme (le 
rapport de la Commission de la defense et de la securite en 2009, L'OTAN et la cyberdefense, et 
celui de la Commission sur la dimension civile de la securite en 2011, Information et securite 
nationale), a la resolution de I'AP-OTAN en 201 1 sur la cybersecurite, ainsi qu'aux debats qui 
n'ont cesse d'avoir lieu sur le sujet dans le cadre des reunions et des missions de cette instance. 



II. CYBERESPACE ET SECURITE NATIONALE 

4. Pour comprendre comment les Etats et les organisations Internationales peuvent faire face 
aux cybermenaces qui portent atteinte a la securite nationale, il est important : d'apprehender le 
contexte general de ces cybermenaces, y compris le mode de fonctionnement des codes 
informatiques malveillants ; de voir quelles sont les menaces particulieres pour les forces armees 
et les infrastructures essentielles dans le cyberespace ; enfin, de conceptualiser les mesures de 
protection eventuelles. Cette section s'acheve par une analyse de la faisabilite d'une veritable 
cyberguerre. 
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A. LE CONTEXTE GENERAL DES CYBERMENACES 

5. Le cyberespace peut se definir comme « un espace sans frontieres au sein de 
renvironnement de I'information, dont les caracteristiques uniques et specifiques sont definies par 
I'utilisation qui est faite du spectre electronique et electromagnetique pour creer, stocker, modifier, 
echanger et exploiter des informations via des reseaux interconnectes et interdependants utilisant 
des teclinologies de I'information et de la communication >> (Kuehl, 2009). II n'existe pas un seul 
cyberespace : Internet est le plus courant, mais tous les reseaux n'y sont pas connectes. On peut 
meme dire que les reseaux les plus importants sont (ou devraient etre) maintenus a I'ecart 
d'Internet. Quoi qu'il en soit, les menaces dont ces reseaux font I'objet dans le cyberespace sont 
en augmentation, des acteurs potentiellement hostiles reussissant a trouver de nouveaux moyens 
pour y acceder. 

6. Les cybermenaces a I'encontre des reseaux militaires et des infrastructures essentielles 
englobent toute une serie d'activites qui vont de I'espionnage et du sabotage a des actes pouvant 
etre consideres comme usage de la force voire, dans les cas extremes, comme des actes de 
guerre. Aucune cyberattaque connue n'a encore ete classee dans la categorie « usage de la 
force » ou « acte de guerre ». Jusqu'ici, I'ecrasante majorite des atteintes a la securite n'ont eu 
aucun impact physique direct et concernaient soit des actes d'espionnage, soit des interruptions 
de services sur le reseau (notamment des communications). Parmi cet eventail de menaces, il est 
important de faire la distinction entre deux categories de cyberactions hostiles - meme si ce n'est 
souvent pas aise dans la pratique. Une cyberattaque « designe I'accomplissement d'actes 
deliberes visant a modifier, perturber, tromper, deteriorer ou detruire les systemes ou les reseaux 
informatiques utilises par un adversaire, ou les informations/programmes qui se trouvent sur ces 
systemes/reseaux ou qui y transitent » (Lin, 2012). Pour commettre une cyberattaque, il est 
necessaire d'utiliser un code malveillant permettant d'exercer une menace ou de causer « des 
prejudices physiques, fonctionnels ou mentaux aux structures, systemes ou etres vivants » 
(Rid, 2013). De son cote, la cyberintrusion - ou simplement le cyberespionnage - « designe 
I'accomplissement d'actes deliberes visant a penetrer les systemes ou les reseaux informatiques 
utilises par un adversaire en vue de se procurer les informations qui se trouvent sur ces 
systemes/reseaux ou qui y transitent » (Lin, 2012). 

7. Pour etre efficace, un code informatique malveillant a besoin de trois elements : 
vulnerabilite, acces et charge virale (Lin, 2010). Par definition, ce code ne parvient a ses fins que 
s'il existe une vulnerabilite (un defaut ou un dysfonctionnement) dans le systeme vise. C'est la une 
difference cle entre les cybermenaces et les menaces classiques. Les saboteurs, les espions ou 
les armes qui ne relevent pas du cyberespace n'ont pas besoin d'une defaillance redhibitoire pour 
reussir ; a I'inverse, un reseau informatique qui ne presente aucune defaillance est parfaitement a 
I'abri d'une cyberattaque. Cela dit, compte tenu de la complexite des systemes d'aujourd'hui, il est 
tres peu probable, voire impossible, que les reseaux informatiques soient depourvus de points 
faibles susceptibles d'etre exploites par des acteurs hostiles. L'exigence de vulnerabilite admet 
toutefois une exception : I'attaque par deni de service, qui vise a rendre un reseau informatique 
indisponible, consiste non pas a exploiter un point faible mais a submerger la cible avec un trafic 
excessif. La deuxieme exigence est I'acces de I'acteur hostile au systeme vulnerable. Cet acces 
peut se faire a distance, par exemple via la connexion du systeme a Internet ou a d'autres reseaux 
publics. II peut aussi s'operer de fagon rapprochee : un individu « infiltre » penetre directement 
dans le systeme et y introduit un code malveillant (par exemple, a I'aide d'une cle USB) ; autre cas 
de figure : un acteur exterieur trafique des composants logiciels ou materiels qui sont ensuite 
integres ou raccordes au systeme vise. L'acteur hostile doit, au final, inserer la « charge virale » 
dans le systeme afin qu'elle y execute Taction malveillante souhaitee. Cette action peut etre 
I'installation d'un logiciel de surveillance ou la destruction du systeme, parfois en causant 
indirectement la blessure des operateurs. 

8. Le caractere tres specifique des cybermenaces tient au fait qu'elles peuvent provenir d'un 
large eventail d'acteurs situes a tous les niveaux. Les cyberattaques ne sont pas le domaine 
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reserve des Etats. Bien au contraire, les obstacles a I'entree sont peu dissuasifs pour des acteurs 
potentiellement hostiles. Les codes malveillants sont facilement accessibles, que ce soit aupres de 
sources publiques ou sur un marche noir en pleine expansion. Memo si ces codes ne sont pas en 
libre acces, un pirate [liacker] ingenieux peut en concevoir un facilement avec peu de moyens. 
Les individus se livrant a des actes de cyberintrusion et a des cyberattaques centre les forces 
armees ou les reseaux essentiels sont notamment des pirates isoles, des « hacktivistes », des 
espions industriels, des organisations criminelles, des groupes terroristes, des gouvernements et 
des organisations Internationales. Cette grande variete d'adversaires potentiels pose evidemment 
des defis uniques pour les pouvoirs publics. Un probleme de faille est que, contrairement aux 
Etats, les acteurs non etatiques peuvent facilement ignorer le droit international et viser des 
objectifs civils, ce qui est interdit par le droit humanitaire international. Du fait du large eventail 
d'acteurs, les analyses comparatives montrent que les strategies nationales de cybersecurite 
selectionnent differemment les cybermenaces et les ennemis potentiels les plus importants 
(Robinson et al., 2013). Cela dit, bien que tous ces acteurs soient capables de fomenter des 
cyberattaques susceptibles de provoquer de graves dommages, la plus grande inquietude 
provient des cyberprogrammes offensifs finances par les Etats, dont les ressources sont bien 
superieures a celles des acteurs non etatiques. 

B. LES CYBERMENACES CONTRE LA SECURITE NATIONALE 

9. En regie generale, une cybermenace peut representor un danger pour la securite nationale 
lorsque les reseaux militaires ou les infrastructures essentielles sont vises. Les autres 
cybermenaces peuvent (et doivent) pour la plupart etre gerees par les services responsables de 
I'application de la loi. Les systemes des forces armees ainsi que les infrastructures essentielles 
presentent des caracteristiques qui les rendent de plus en plus vulnerables. 

1 0. Dans le cas des forces armees, I'importance accordee au cyberespace (et rutilisation qui en 
est faite) augmentent rapidement. Les systemes, dispositifs et plateformes en reseau possedent 
d'ores et deja une valeur inestimable. Or, plus les forces armees utiliseront des capacites 
interconnectees, et plus elles s'exposeront a des attaques potentiellement devastatrices. En 
verite, la frequence des cyberintrusions dans les systemes militaires s'est considerablement 
accrue, et le developpement a I'echelle mondiale de cybercapacites offensives ne cesse de 
progresser. A I'instar de n'importe quel reseau informatique, les systemes militaires sont 
vulnerables face aux attaques provenant des reseaux eux-memes ou de composants 
logiciels/materiels susceptibles d'avoir ete trafiques avant leur raccordement auxdits systemes. 
Cette menace est aggravee par le fait que la majorite des infrastructures de communication et 
d'information sont detenues et exploitees par des societes privees, et qu'un grand nombre de 
composants sont acquis via les chaines d'approvisionnement mondiales. Par ailleurs, bien que les 
systemes les plus sensibles soient theoriquement isoles des systemes plus ouverts, leur porosite 
demeure et un acteur malveillant determine peut trouver des points d'acces suffisants. Les 
principales difficultes a cet egard sont done d'empecher les acteurs hostiles d'acceder aux 
reseaux sensibles et de garantir que les composants n'ont pas fait I'objet d'une attaque. 

1 1 . Les infrastructures essentielles, qu'elles soient gerees par I'Etat ou par des interets prives, 
sont probablement plus vulnerables aux cyberintrusions et aux cyberattaques que ne le sont les 
forces armees. Bien qu'il n'existe pas de definition standard de ce qu'est une infrastructure 
essentielle, I'expression recouvre generalement les installations et les services civils 
indispensables au fonctionnement de base d'une societe donnee, ou dont I'absence lui serait tres 
prejudiciable. Les secteurs souvent consideres comme essentiels sont, entre autres : 
administrations, energie, transports, services financiers, alimentation, information et 
communications. Ces secteurs font de plus en plus I'objet de cybermenaces en raison de 
I'utilisation croissante des technologies de I'lnformation pour gerer et fournir les services, ce qui 
elargit la surface d'attaque des infrastructures essentielles et accroTt le risque d'une succession de 
defaillances. Les infrastructures essentielles sont particulierement fragiles car leurs proprietaires, 
leurs operateurs et leurs sous-traitants utilisent de plus en plus des logiciels ou materiels en acces 
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libre (tels que les telephones portables ou les tablettes), ainsi que des reseaux publics (en 
association avec des reseaux prives, ou en lieu et place de ces derniers). La question est 
particulierement preoccupante pour ce qui est des systemes de controle industriel, par exemple 
les systemes d'acquisition et de controle de donnees {Supervisory Control and Data Acquisition, 
SCADA). Ces systemes sont generalement integres a des reseaux isoles. Or, dans la mesure ou 
les reseaux plus ouverts promettent toutes sortes de possibilites nouvelles (comme par exemple 
une plus grande efficience), ces systemes sont de plus en plus raccordes a ces autres reseaux. 
Toutes ces evolutions accentuent la vulnerabilite des infrastructures essentielles et augmentent 
I'impact eventuel d'une cyberattaque reussie. 

12. La grande difficulte pour mettre en oeuvre une strategie efficace en matiere de protection 
des infrastructures essentielles centre les cybermenaces est de trouver un moyen permettant de 
gerer au mieux les relations public-prive entre, d'un cote I'Etat, et de I'autre, les proprietaires et 
operateurs desdites infrastructures. Les mesures incitatives mis en oeuvre different sensiblement 
entre les deux parties : les pouvoirs publics sont surtout preoccupes par la securite, alors que les 
entreprises privees ont les yeux rives sur leurs resultats financiers. Les gouvernements nationaux 
et les organisations Internationales ont le choix entre la mise en place de normes facultatives en 
matiere de cybersecurite, i'adoption de reglementations contraignantes ou la poursuite d'une 
politique hybride associant ces deux options. Compte tenu de la rapidite a laquelle les 
technologies de I'information evoluent et progressent, aucune de ces options n'est facile a mettre 
en oeuvre. 

C. LES MESURES DE PROTECTION CONTRE LES MENACES A LA SECURITE 
NATIONALE PROVENANT DU CYBERESPACE 

13. Les Etats disposent d'un certain nombre d'options pour lutter centre les menaces 
cybernetiques a la securite nationale. lis ont le choix, en I'occurrence, entre la cyberdefense, la 
cyberdissuasion et la maTtrise des cyberarmes. 

1 . Cyberdefense 

14. Le premier rempart centre les cybermenaces est la cyberdefense, qui empeche des acteurs 
hostiles d'operer avec succes des cyberintrusions, ou tout au moins d'en tirer profit. Les 
gouvernements et les entites privees peuvent prendre des mesures preventives et passives. Les 
Etats peuvent ameliorer leur connaissance de ce qu'est une cybermenace et investir dans la 
recherche-developpement de technologies permettant d'ameliorer la cybersecurite. Quant aux 
organisations, elles peuvent creer des mesures incitatives pour amener les operateurs et les 
clients a respecter les consignes elementaires en matiere de cybersecurite (Lin, 2012). Le 
personnel peut par exemple etre forme a la cyber « hygiene » ; des audits peuvent etre realises 
pour verifier et evaluer les comportements ; enfin, des recompenses peuvent etre attribuees pour 
ameliorer le respect des consignes. Du point de vue technique, la cyberdefense consiste surtout a 
remedier aux vulnerabilites des systemes, par exemple en corrigeant un logiciel defaillant, en 
fermant des voles d'acces (a I'aide d'un pare-feu, par exemple), et en neutralisant la charge virale, 
y compris lorsque I'intrusion a reussi (par exemple en rendant les fichiers sensibles inutilisables, 
que ce soit par cryptage ou tout autre precede). Des « pots a miel» - c'est-a-dire des leurres 
permettant d'eloigner les intrus des informations veritablement utiles - peuvent etre installes, de 
meme que des logiciels capables de detecter et de surveiller les intrusions. Pour empecher que 
les cyberattaques ne causent des dommages intolerables, les Etats peuvent aussi veiller a une 
meilleure continuite des systemes en renforgant leur redondance et leur resilience, et en 
ameliorant leur propre capacite a reparer et remettre en etat les systemes ayant ete la cible d'une 
attaque. 

15. La notion de cyberdefense active suscite une grande attention. Les techniques de 
cyberdefense preventive et passive susmentionnees sont essentiellement reactives : les 
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organisations essaient de reduire les vulnerabilites, de bloquer les points d'acces et de minimiser 
la capacite de destruction de la charge virale. Le probleme est que les auteurs de cyberintrusions 
sont determines, qu'ils sont probablement beaucoup plus habiles que les cyber-defenseurs, et 
qu'ils sont capables de s'adapter rapidement pour dejouer les nouveaux procedes de 
cyberdefense. Les techniques de cyberdefense active permettent a ceux qui les mettent en oeuvre 
de mettre au jour, de definir, d'analyser et d'attenuer les cybermenaces en temps reel. Les 
organisations peuvent par exemple engager une « poursuite immediate » a I'encontre des intrus, 
c'est-a-dire « pirater en riposte >> leurs reseaux, que ce soit ouvertement ou en douce. Neanmoins, 
bien que ces defenses actives presentent de nombreux avantages, leurs incidences pratiques et 
juridiques ne sont pas encore tres claires, en particulier pour les acteurs etatiques 
(Farwell et Rohozinski, 2012). Dans quelles circonstances "le piratage de riposte" constitue-t-il une 
cyberagression injustifiee ? Qui a autorite pour exercer une defense active et dans quelles 
circonstances ? Ou se trouve la frontiere entre une defense active et une attaque preventive ? 
Telles sont quelques-unes des questions qui restent sans reponse. 

2. Cyberdissuasion 

1 6. Un grand nombre d'experts et de responsables gouvernementaux estiment qu'aujourd'hui ce 
sont les attaquants qui ont I'avantage dans le cyberespace, et que cela n'est pas pret de changer. 
Les cyberdefenses seraient par consequent insuffisantes pour empecher d'eventuels pirates de 
penetrer dans les infrastructures essentielles et aux reseaux militaires. Des acteurs hostiles, 
doues et ingenieux trouveront toujours un moyen de dejouer les cyberdefenses. Ce point de vue 
va souvent de pair avec la conviction que les cyberattaques peuvent causer des dommages 
considerables en un hen de temps. Un grand nombre d'experts et, a vrai dire, de 
gouvernements se tournent done vers des strategies de dissuasion axees sur la sanction, en 
d'autres termes, des strategies visant a dissuader les pirates de commettre des cyberattaques en 
les menagant de seheuses represailles. Ces actions de represailles ne sont pas necessairement 
circonscrites au cyberespace, mais le recours a des cybercapacites offensives serait certainement 
utile dans ces strategies de dissuasion. 

1 7. Avant de decrire ce que pourrait etre une strategie de cyberdissuasion et a quels problemes 
elle pourrait se heurter, il est important de noter qu'un nombre grandissant d'analystes n'ont pas 
un avis aussi tranche sur les cyberattaques et mettent en garde centre I'utilisation excessive de la 
cyberdissuasion. lis avancent que la meilleure defense reste une bonne defense. Les cyberarmes 
sophistiquees - done plus dangereuses- necessitent de grandes competences pour etre 
developpees, et elles doivent ensuite etre adaptees a chacune de leur cible. Par ailleurs, les 
dommages qu'elles peuvent causer sont souvent incertains, imprevisibles, voire souvent 
contraires au but recherche. II est done vraisemblable que ces dommages ne soient finalement 
que peu importants et tres cibles. Plus les cyberarmes sont sophistiquees, plus les possibilites de 
stopper I'attaquant sont grandes. Par consequent, comme I'indiquent les analystes, trop s'appuyer 
sur la cyberdissuasion pourrait creer un sentiment de fausse securite et memo avoir des effets 
destabilisateurs dans les rapports avec un eventuel adversaire. 

18. Malgre ces appels a la prudence, de nombreux Etats elaborent ou mettent en oeuvre des 
strategies de dissuasion. II est done imperatif de comprendre les eomplexites et les implications de 
la cyberdissuasion qui, malgre ses nombreuses similitudes avec les formes de dissuasion 
elassiques, presente egalement des differences notables du fait de la nature du cyberespace. 
Trois difficultes sont a noter en particulier : rattribution de I'attaque ; la fixation eventuelle d'un 
seuil de represailles ; enfin, la proportionnalite de la menace de represailles. 

19. II est tres difficile, dans le cyberespace, de remonter jusqu'a I'auteur et/ou instigateur d'une 
intrusion : c'est ce que Ton appelle le probleme de I'attribution de I'attaque. D'une part, la plupart 
des intrusions ont lieu via des reseaux tiers, le plus souvent par I'intermediaire de « botnets » 
(ou ordinateurs zombies), c'est-a-dire un reseau d'ordinateurs appartenant a des personnes qui ne 
sont pas au courant que leurs machines sont utilisees a des fins malveillantes. D'autre part, meme 
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si Ton reussit a retrouver la trace des auteurs d'une attaque dans un pays donne, il est tres difficile 
d'etablir un lien entre ces auteurs et un Etat (les pirates ne logent pas necessairement dans une 
caserne ni ne portent d'uniforme). II est frequent que ce lien n'existe meme pas. En fait, une 
cyberintrusion peut etre le fait de ceux que Ton surnomme les « pirates patriotes », des individus 
qui veulent apporter un soutien a un Etat, mais qui n'agissent pas en son nom. Comme I'indique 
un observateur : « L'attribution d'une attaque est difficile, voire impossible, si son auteur (Etat ou 
individu) : utilise les outils et techniques modernes et ne laisse aucune trace ; assure une securite 
operationnelle parfaite ; ne formule aucune exigence ; et surtout, entreprend une action hostile qui 
requiert une reaction rapide. » (Lin, 2012). En revanche, d'autres observateurs dont le 
gouvernement des Etats-Unis sent optimistes quant aux progres qui seront accomplis au regard 
de l'attribution des attaques, et rendront ainsi la dissuasion possible. D'ailleurs, l'attribution des 
attaques n'est peut-etre pas aussi ardue que beaucoup le pretendent. Plus une cyberattaque est 
grave, et plus son auteur a interet a en revendiquer la responsabilite (Rid, 2013). Si I'objectif d'une 
attaque est d'exercer une contrainte ou une pression sur I'adversaire, l'attribution est necessaire : 
en effet, comment la victime peut-elle satisfaire aux exigences de I'attaquant si elle ne salt pas qui 
il est ? Si I'attaque est commise dans le cadre d'un conflit arme, la victime connaTt 
vraisemblablement son auteur. 

20. Un autre probleme de base de la cyberdissuasion est la question de la fixation eventuelle 
d'un seuil de represailles. Toutes les cyberattaques ne meritent pas des represailles. Dans les cas 
de cyberespionnage, par exemple, la menace de represailles n'est pas credible car I'ordre 
international n'interdit pas I'espionnage entre Etats. Si un Etat est clairement victime d'une 
cyberattaque, la question qui se pose est de determiner quel degre et quel type de dommage 
justifient des represailles. Peut-on fixer un seuil de represailles en fonction du prejudice 
economique, des degats physiques causes aux infrastructures ou des pertes en vies humaines 
(dans la mesure ou ces pertes sent uniquement une consequence indirecte et parfois involontaire 
de I'attaque) ? II n'existe a ce stade aucune interpretation juridique claire de ce qui constitue un 
usage de la force - voire un acte de guerre - dans une cyberattaque. En I'absence d'une telle 
interpretation, comment peut-on fixer un seuil de represailles ? Et si ce seuil est fixe, peut-il 
encourager un adversaire potentiel a mener des actions juste en dessous du seuil, pour ne pas 
avoir a craindre des represailles ? 

21. Une troisieme difficulte tient a la proportionnalite des represailles. Tout d'abord, les 
represailles doivent-elles avoir lieu uniquement dans le cyberespace, ou s'exercer d'une autre 
maniere ? La reponse est que cela depend evidemment de la gravite de I'acte commis. Cela dit, si 
les represailles doivent avoir lieu dans le cyberespace, est-il envisageable que la victime menace 
les actifs de I'attaquant (Libicki, 2009) ? Le cyberespace regorge d'acteurs hostiles et, dans la 
mesure ou les cyber-represailles doivent etre adaptees a la gravite de I'attaque ainsi qu'aux 
vulnerabilites respectives, une multitude d'efforts et de ressources sent necessaires pour adopter 
une position dissuasive credible. Par ailleurs, meme si un Etat congoit des mesures de 
represailles specifiques, il n'est pas sur que I'agresseur soit toujours vulnerable au moment ou les 
represailles s'avereraient necessaires. 

22. La cyberdissuasion est complexe, et de nombreuses questions restent encore sans reponse. 
Les Etats ou les organisations peuvent-ils raisonnablement etendre la cyberdissuasion a leurs 
allies ? Quels actes de represailles conduiraient a I'escalade involontaire d'un conflit ? Toutes ces 
questions trouveront probablement une reponse en temps voulu. Apres tout, il a fallu pres de 
20 ans aux strateges "de I'atome" pour tirer des enseignements fondamentaux sur ce que voulait 
dire la dissuasion a I'epoque du nucleaire. De nombreux experts laissent toutefois entendre qu'a 
ce stade, « I'ambiguite strategique >> et la souplesse - concernant les types d'actes entramant des 
represailles et quelle forme doivent prendre ces represailles - est la position la plus acceptable en 
matiere de cyberdissuasion. Cela dit, a mesure que le nombre de cyberattaques augmentera et 
que la dissuasion sera mise a I'epreuve, cette position pourrait etre mise a mal. 
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3. Maitrise des cyberarmes 

23. Une certaine forme de maitrise des cyberarmes (via la mise en place de normes et de 
mesures juridiques Internationales, par exemple) pourrait etre une solution pour attenuer les 
menaces a la securite nationale provenant du cyberespace. Si la cyberdefense et la 
cyberdissuasion suscitent deja de nombreuses questions, cela est encore plus vrai pour ce qui est 
de la maitrise des cyberarmes. En fait, les possibilites de trouver des reponses a ces questions et 
de mettre en place une maitrise des cyberarmes, fussent-elles rudimentaires, semblent faibles 
pour le moment (Lin, 2012). Si Ton s'oriente vers une restriction de la recherche-developpement 
des codes malveillants, comment pourra-t-on verifier qu'aucun acteur - etatique ou non - ne 
developpe un tel code ? Apres tout, 11 suffit, pour rediger un code, d'un pirate intelligent dote d'un 
minimum d'equipement. Par ailleurs, I'une des methodes les plus efficaces pour detector des 
defaillances sur les reseaux est de proceder a un test de penetration, a savoir, deployer un 
simulacre d'adversaire pour tenter de mettre a mal les systemes de defense a i'aide d'un code 
malveillant. L'interdiction d'une telle activite signifierait que les acteurs hostiles seraient clairement 
avantages. Si Ton restreint ou interdit rutilisation de codes malveillants par les pays qui sont en 
conflit, ces pays seraient-ils tentes de les utiliser malgre tout, si, dans ce conflit, lis n'avaient pas le 
dessus, et qu'est-ce qui empecherait des acteurs non etatiques (par exemple des terroristes ou 
des « pirates patriotes >>) d'utiliser lesdits codes ? Si Ton devait proscrire le cyberespionnage, cela 
irait bien au-dela du regime international actuel, dans lequel I'espionnage n'est pas considere 
comme une activite interdite. Cela dit, des recherches plus poussees concernant la maitrise des 
cyberarmes pourraient donner naissance a des approches novatrices et accroTtre les perspectives 
de reussite. L'adoption, en parallele, d'une vision commune sur les concepts du cyberespace 
pourrait egalement etre utile. Enfin, la signature d'accords sur les problemes du cyberespace qui 
depassent la sphere de la securite nationale (la cybercriminalite, par exemple) pourrait ouvrir de 
nouvelles voles dans la maitrise des cyberarmes. Pour I'heure cependant, les Etats doivent 
s'accommoder d'un monde dans lequel les codes malveillants continueront a proliferer. 

D. LES PERSPECTIVES D'UN CYBERCONFLIT ENTRE ETATS 

24. Compte tenu des vulnerabilites actuelles des reseaux militaires et des infrastructures 
essentielles, mais aussi de I'intense proliferation des cybercapacites offensives, existe-t-il un 
veritable risque de cyberconflit entre Etats ? Malgre une tendance parfois forte a I'exageration au 
sein de I'opinion publique, 11 existe de bonnes raisons d'etre sceptique. 

25. Premierement, les cyberarmes ne causent des dommages physiques (au materiel, aux 
infrastructures ou aux personnes) que de maniere indirecte, en provoquant le dysfonctionnement 
des systemes. Jusqu'ici, I'utilisation de codes malveillants n'a cause en fait que trois cas connus^ 
de dommages physiques, et aucun d'eux n'a eu de consequences sur des vies humaines : en 
2007, le test de penetration « Aurora >> mene dans un laboratoire a cause de serieux degats sur 
un generateur ; I'utilisation du ver informatique Stuxnet a des fins de sabotage a provoque la 
destruction de centrifugeuses iraniennes ; en 2012, le virus Shamoon utilise a I'encontre de la 
societe saoudienne Aramco {Saudi Arabian Oil Company) a cause de graves degats a son reseau 
interne (mais aucun, il faut le noter, a ses infrastructures gazieres et petrolieres). Deuxiemement, 
les cyberattaques doivent etre soigneusement adaptees a chacune de leur cible, ce qui veut dire 
que les cyberarmes ont peu de chances d'etre deployees dans le cadre d'attaques de grande 
ampleur. Troisiemement, une fois qu'une cyberarme est lancee, il est tres peu probable qu'elle 
soit reutilisee a des fins similaires. En verite, il y a plus de chances qu'elle soit bloquee, vu que la 
victime de I'attaque s'adapte au code malveillant. Quatriemement, bien que la valeur d'un code 
diminue aux yeux de I'attaquant une fois qu'il I'a utilise, d'autres acteurs - la victime elle-meme ou 
des tiers - peuvent modifier ce code sophistique et I'utiliser centre I'attaquant. Enfin, une fois 



Le rapporteur suppose que d'autres cas, peut-etre plus graves, se sont produits, mais qu'ils n'ont pas 
ete rendus publics. 
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lancee, une cyberarme peut echapper a tout controle et frapper des cibles de maniere 
accidentelle, voire des cibles se trouvant dans le pays d'ou provient I'attaque. 

26. Pour toutes ces raisons, la plupart des analystes conviennent aujourd'hui qu'il y a peu de 
risques pour que les cyberarmes causent en I'espace de tres peu de temps des dommages 
considerables aux effets strategiques indeniables comme une frappe nucleaire de neutralisation). 
Cela ne veut pas dire que les cyberarmes ne trouveront pas une place dans les conflits et dans la 
fagon dont lis sont menes, mais « qu'elles doivent simplement etre considerees comme une 
categorie d'armes parmi d'autres » (Gray, 2013). Les risques de cyberterrorisme ne doivent pas 
etre sous-estimes, mais la aussi, la prudence est de mise car les terroristes s'orientent 
generalement vers des cibles tres visibles et presentant une grande dimension emotionnelle, qui 
sont difficiles a atteindre avec des cyberarmes. Du point de vue des Etats, les cyberarmes 
possedent bel et bien des avantages uniques : elles peuvent atteindre des objectifs militaires plus 
rapidement, sur une plus longue portee et de fagon plus economique, moins risquee et plus furtive 
(Gray, 2013 ; Bockel, 2012). Pour les experts militaires, les cyberattaques pourraient jouer le role 
de facilitateurs des actions militaires, notamment en provoquant un effet de surprise susceptible 
de conduire a un succes operationnel - par exemple au debut d'un conflit arme de grande 
ampleur ou lors d'operations speciales (Libicki, 2009). Un grand nombre de juristes et de 
gouvernements estiment egalement que les cyberarmes ne posent aucun probleme de fond au 
regard du droit des conflits armes, memo si, s'agissant des cyberattaques, ce dernier doit etre 
interprete. En d'autres termes, comme le resument deux observateurs : « L'organisation type des 
conflits survenant a I'ere de I'information n'est pas un « cyberconflit » entre Etats qui se deroule 
uniquement en ligne et dans lequel les objectifs strategiques peuvent etre atteints au moyen 
d'operations coup de main menees dans le cyberespace. L'organisation type est en revanche une 
« cyberechauffouree », c'est-a-dire un fond plus ou moins constant d'activite de faible intensite 
dans un vaste « paysage virtuel >>, souvent menee par des acteurs differents et sans aucune 
consequence strategique (ou si peu), quelle que soit I'importance globale de ces enjeux. » (Betz 
et Stevens, 2011). 



III. LES REPONSES DEFENSIVES DE LA COMMUNAUTE EURO-ATLANTIQUE 

27. Compte tenu de I'impact eventuel des cybermenaces et de leur proliferation a I'echelle 
mondiale, les Etats de la communaute euro-atlantique envisagent de mettre au point et 
d'encourager une politique et des pratiques en matiere de cybersecurite aux niveaux national et 
multinational. Bien que la question de la cybersecurite ait beneficie ces dernieres annees d'une 
attention soutenue a un niveau eleve, les mesures de protection centre les cybermenaces tardent 
encore a se mettre en place. Pour illustrer les efforts mis en oeuvre dans le domaine de la 
cybersecurite, nous examinerons tout d'abord dans la presente section les actions engagees par 
les Etats-Unis (consideres comme le leader de la communaute euro-atlantique en matiere de 
cybersecurite) la France, I'Allemagne et le Royaume-Uni, les trois pays europeens possedant le 
plus gros budget de la defense au sein de I'OTAN, ainsi que I'Estonie, a la pointe des efforts 
poursuivis en matiere de la cybersecurite apres les attaques dont elle a ete victime en 2007. Nous 
nous interesserons ensuite aux initiatives multinationales et a Taction innovante de I'UE et de 
I'OTAN en matiere de conception et de mise en oeuvre de mesures de protection. Ces deux 
organisations cherchent a elaborer des politiques globales comportant des normes claires sur la 
securite des reseaux, et mettent I'accent sur I'importance de la cooperation entre les 
gouvernements nationaux et le secteur prive. Les principales differences entre les politiques de 
I'UE et de I'OTAN en matiere de cybersecurite sont davantage dues au role different des deux 
organisations qu'a leur approche divergente de la cybersecurite. L'OTAN possede ses propres 
reseaux et systemes informatiques. Au sein de I'UE, les responsabilites en matiere de 
cybersecurite incombent principalement aux Etats membres pour leurs reseaux et systemes 
nationaux, tandis que les institutions europeennes sont responsables de leurs propres 
equipements (Robinson, 2013). 
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28. Dans la mesure ou les doctrines et les regies d'engagement d'une cyberaction offensive 
sont classifiees "secret", la presente section ne s'interessera pas specifiquement aux 
cybercapacites offensives. La France, le Royaume-Uni et les Etats-Unis ont fait savoir qu'ils 
detenaient ce type de cybercapacites ; en revanche I'OTAN et I'UE, en tant qu'organisations 
Internationales, en sont depourvues. Nous eviterons egalement dans cette section d'examiner en 
detail les mesures de maTtrise des cyberarmes. Pour un certain nombre de raisons, les pays 
decrits ci-apres ne sont globalement pas favorables a la mise en place de regies formelles sur la 
maTtrise des cyberarmes, mais lis ne refusent pas le debat sur les mesures a prendre pour 
instaurer la conf lance, les normes a respecter et la conduite a tenir a cet egard. 

A. LES ETATS-UNIS 

29. La strategie de securite nationale elaboree en 2010 presente les cybermenaces comme 
« I'un des plus grands defis pour la securite nationale, la surete publique et I'economie » auxquels 
sont confrontes les Etats-Unis (Maison-Blanche, 2010). En fait, malgre la baisse generale des 
depenses militaires, le ministere de la Defense a fait de la cybersecurite I'une de ses priorites 
dans le cadre des projections budgetaires actuelles (Serbu, 2014). Depuis 2009, le budget 
americain de la cybersecurite s'est accru, en moyenne, de 0,27% par an (Joubert, 2014). La 
strategie americaine dans le domaine de la cybersecurite vise deux grands objectifs : ameliorer la 
resilience aux cyberincidents et reduire la cybermenace. Le premier de ces objectifs necessite un 
renforcement de I'infrastructure numerique, une amelioration des methodes de defense et une 
aide a la recuperation rapide en cas de cyberincidents. Quant au second, il requiert 
« I'elaboration - en collaboration avec les allies, de normes Internationales relatives aux 
comportements admis dans le cyberespace, le renforcement des capacites des services charges 
de I'application de la loi en matiere de lutte centre la cybercriminalite, ainsi qu'une action de 
dissuasion a I'egard des adversaires potentiels afin qu'ils n'exploitent pas les vulnerabilites 
restantes » (Maison-Blanche, 2010). 

30. D'un point de vue organisationnel, la tache de protection de I'infrastructure numerique est 
repartie aux Etats-Unis entre le departement de la Defense (DoD - Department of Defense), qui 
assure la securite des reseaux militaires, et le departement de la Securite interieure 
(DHS - Department of Homeland Security) qui securise les reseaux publics civils et coopere avec 
les entites privees. 

31. Au sein du DoD, les responsabilites concernant le cyberespace sont confiees au 
Cybercommandement (USCYBERCOM), installe dans les locaux de I'Agence de securite 
nationale (NSA), chargee du recueil des renseignements d'origine electromagnetique. Le directeur 
de la NSA possede en fait « deux casquettes », puisqu'il est aussi commandant de 
rUSCYBERCOM. Ce dernier a pour tache de synchroniser et de coordonner les actions de 
securisation du cyberespace entre les differentes divisions de I'armee americaine. De maniere 
generale, le DOD s'occupe de trois types de cyberattaques : le vol ou I'exploitation de donnees ; 
I'lnterruption ou le deni d'acces ou de service sur les reseaux et les systemes ; les actes a visee 
destructrice. 

32. La politique actuelle du DoD au regard du cyberespace s'appuie sur la strategie de conduite 
des operations dans le cyberespace, mise au point en 2011. Cette strategie decrit le contexte 
strategique des cybermenaces et propose cinq initiatives (Departement de la Defense des 
Etats-Unis, 2011) : 

aborder le cyberespace comme un champ d'operation requerant des taches d'organisation, 
de formation et d'equipement, afin que le DoD puisse exploiter pleinement le potentiel des 
reseaux et des systemes du cyberespace ; 

utiliser de nouveaux concepts operationnels en matiere de defense afin de proteger les 
reseaux et les systemes du DoD ; 
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collaborer avec d'autres ministeres et organismes publics am^ricains ainsi qu'avec le 
secteur prive, afin de mettre en cBuvre une strategie de la cybersecurite englobant toutes les 
instances gouvernementales ; 

nouer des relations solides avec les allies et partenaires internationaux des Etats-Unis dans 
le but de renforcer la cybersecurite collective ; 

tirer parti des talents nationaux, a savoir une main-d'ceuvre extremement qualifiee dans le 
domaine du cyberespace et des innovations technologiques rapides. 

33. Aux Etats-Unis, la protection des infrastructures essentielles centre les cybermenaces 
incombe maintenant au pouvoir executif, le Congres n'etant pas parvenu depuis 2002 a adopter 
quelque legislation importante que ce soit sur la cybersecurite. Le DHS est le principal organe 
gouvernemental charge de la protection des infrastructures essentielles, y compris centre les 
cybermenaces. Compte tenu du nombre considerable de proprietaires et d'operateurs 
d'infrastructures essentielles - publiques ou privees -, le role joue par le DHS est relativement 
vaste. En I'occurrence, ce departement formule « des orientations strategiques a I'intention des 
partenaires publics et prives, met en avant I'harmonisation des efforts a I'echelle nationale et 
coordonne I'ensemble des actions federales visant a promouvoir la securite et la resilience des 
infrastructures essentielles du pays » (Departement americain de la Securite interieure, non date). 

34. Au sein du DHS, la protection des infrastructures essentielles centre les cybermenaces est 
coordonnee par le National Cybersecurity and Communications Integration Center (NCCIC). Ce 
centre a pour mission de favoriser la cooperation et la mise en commun des informations entre 
tous les echelons du gouvernement et le secteur prive. L'une de ses activites consiste a effectuer 
un travail de sensibilisation sur les vulnerabilites, les intrusions, les incidents, les mesures 
d'attenuation et les actions de recuperation des donnees. Le NCCIC assure par exemple la 
gestion de la United States Computer Emergency Readiness Team (CERT), qui intervient en cas 
de cyberincidents, fournit une assistance technique aux operateurs et diffuse des notes 
concernant les menaces actuelles et potentielles^. Bien qu'il travaille en liaison etroite avec les 
proprietaires et operateurs d'infrastructures essentielles, le NCCIC n'est pas habilite a faire 
respecter les mesures de cybersecurite aupres du secteur prive. 

35. Outre le role joue par le DHS, un decret-loi signe en 2013 par le president Obama, dans le 
but d'ameliorer la cybersecurite des infrastructures essentielles, a confie au National Institute of 
Standards and Technology la tache de creer un cadre pour la cybersecurite. Acheve en 
fevrier2014, ce cadre comporte un ensemble de normes minimales non obligatoires qui 
fournissent aux operateurs prives des donnees de reference en matiere de cybersecurite. II pourra 
servir de base a la reglementation future des differents secteurs. En effet, des agences federales 
ont realise une evaluation des regies de cybersecurite en vigueur dans les secteurs places sous 
leur responsabilite, avec la possibilite d'elaborer des normes reglementaires (Romm, 2014). La 
mise en oeuvre du cadre precite dans tous les secteurs ou il existe des infrastructures essentielles 
est peu probable sans une action du Congres. Certains observateurs pergoivent toutefois, dans 
Tactivite recente des legislateurs, une volonte accrue de faire adopter divers projets de loi sur la 
cybersecurite. La session inter-regime du Congres, la periode situee entre les elections du 
Congres de 2014 et le debut de la session de 2015, pourrait etre cruciale pour parachever avant la 
fin de I'annee la legislation sur la cybersecurite et la protection des donnees (Krayem, Savelief, 
Davenport, et Martin, 2014). En juillet 2014, la Chambre des representants a adopte trois textes 
relatifs a la protection des infrastructures essentielles. La premiere de ces lois, qui concerne la 
cybersecurite et la protection des infrastructures essentielles a I'echelle nationale, privilegie le 
renforcement de I'autorite du DHS, en mettant en place de fagon codifiee des equipes Cyber 



Une CERT est une equipe d'experts intervenant rapidement en cas d'incidents lies a la securite 
informatique. Ces experts fournissent les services necessaires pour resoudre ie probieme et gerer ies 
consequences. La plupart des CERT fournissent en outre des services de sensibilisation et de 
prevention, par exemple en surveillant renvironnement. Tous les membres de rAlliance et de i'UE sont 
invites a se doter d'une CERT nationale. La CERT-EU vient en aide aux institutions de rUE. 
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Incident Response Teams et souligne la necessite de travailler en collaboration avec le secteur 
prive. La deuxieme loi, qui traite de I'intensification de la recherche-developpement sur les 
infrastructures essentielles, accroTt les responsabilites du DHS en ce qui concerne la protection 
des infrastructures essentielles, en demandant a ce departement de concevoir et de mettre a jour 
un plan de R-D sur les technologies de la cybersecurite. Enfin, la troisieme loi, qui porte sur le 
personnel responsable de la cybersecurite interieure, charge le secretaire d'Etat a la Securite 
interieure de mettre au point une strategie pour former et recruter une main-d'ceuvre specialisee 
dans la cybersecurite interieure (Pagan, Hertling et Dantiki, 2014). 

36. Les Etats-Unis, pour qui la collaboration Internationale est le premier principe a suivre pour 
elaborer une politique sur le cyberespace, ont publie en 201 1 une strategie Internationale pour le 
cyberespace (Maison-Blanche, 2011). Le principal objectif de cette strategie est de promouvoir 
« des infrastructures d'information et de communication ouvertes, interoperables, sures et 
fiables » en creant « un environnement dans lequel des normes aux fins d'un comportement 
responsable orientent les actions des Etats, assurent la viabilite des partenariats et favorisent 
I'Etat de droit dans le cyberespace. » 

B. LA FRANCE 

37. En France, la cybersecurite est apparue comme un domaine specifique de la securite 
nationale dans le Livre blanc sur la defense et la securite nationale de 2008. Depuis cette date, le 
pays n'a cesse d'ameliorer ses politiques en matiere de cyberdefense et de cybersecurite, et a 
encore intensifie ses efforts sous I'impulsion de I'actuel ministre de la Defense, 
Jean-Yves Le Drian. 

38. En 2009, la France a cree I'Agence nationale de la securite des systemes d'information 
(ANSSI), placee sous la responsabilite du secretaire general de la defense et de la securite 
nationale. L'ANSSI est a ce jour I'autorite nationale chargee de la protection des reseaux et des 
systemes d'information dans les secteurs tant public que prive. Les taches de veille, d'analyse et 
de reaction aux attaques commises sur des systemes militaires sont assurees par le Centre 
d'analyse de lutte informatique defensive, d^sormais installe dans les memos locaux. La mission 
de I'ANSSI a quatre volets (ANSSI, 2013) : 

« detecter et reagir au plus tot en cas d'attaque informatique, grace a un centre de 
detection charge de la surveillance permanente des reseaux sensibles et de la mise en 
ceuvre de mecanismes de defense adaptes aux attaques ; 

prevenir la menace, en contribuant au developpement d'une offre de produits de tres haute 
securite ainsi que de produits et services de confiance pour les administrations et les 
acteurs economiques ; 

jouer un role de conseil et de soutien aux administrations et aux operateurs des 
infrastructures d'importance vitale ; 

informer regulierement le public sur les menaces, notamment par le site Internet 
gouvernemental de la securite informatique, lance en 2008, qui a vocation a etre le portail 
Internet de reference en matiere de securite des systemes d'information ». 

39. Le role de conseil et de soutien aupres des operateurs des infrastructures d'importance 
vitale qui a ete attribue a I'ANSSi est rendu possible grace aux autres volets de sa mission. Le 
partage d'informations, la recherche-developpement et revaluation des risques sont des aspects 
cles d'un partenariat public-prive efficace dans le domaine de la cybersecurite. Ces efforts 
representent le fondement de la strategie de la France en matiere de cybersecurite, et le 
gouvernement frangais est determine a en faire encore plus pour la protection de ses 
infrastructures essentielles. Dans le cadre de cet objectif, I'ANSSi a publie en 2014, en 
coordination avec les parties prenantes de I'industrie, des propositions concernant la classification 
des infrastructures d'importance vitale et I'amelioration de leur resilience aux cyberattaques. Ces 
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propositions serviront de base a I'elaboration d'une loi sur la cybersecurite 
(Drinkwater, 2014). 

40. Etant de plus en plus la cible d'operations de cyberespionnage, la France cherche a 
renforcer ses capacites de defense (prevention, detection et resilience) face aux cyberattaques. 
Repondant a ces objectifs, le Livre blanc de 2013 sur la defense et la securite nationale met 
I'accent sur le soutien de I'Etat aux competences scientifiques et technologiques de haut niveau, 
le controle des chames d'approvisionnement des systemes de securite et des prestataires de 
services, le renforcement des capacites en matiere de renseignement et la cooperation avec des 
partenaires etrangers de confiance (Republique frangaise, 2013). La mise en oeuvre de ces 
dispositions va bon train car le gouvernement est convaincu de I'urgence du sujet. En fevrier 2014, 
le ministre de la Defense, Jean-Yves Le Drian, a annonce le lancement du "Facte Defense 
Cyber", dote d'un budget de 1 milliard d'euros dont les six axes sont : 

durcir le niveau de securite des systemes d'information et les moyens de defense et 
d'intervention du ministere et de ses grands partenaires de confiance ; 
preparer I'avenir en intensifiant I'effort de recherche tant technique et academique 
qu'operationnel, tout en soutenant la base industrielle ; 

renforcer les ressources humaines dediees a la cyberdefense et construire les parcours 
professionnels associes ; 

developper en Bretagne le Pole d'excellence en cyberdefense au profit du ministere de la 
defense et de la communaute nationale de cyberdefense ; 

cultiver un reseau de partenaires etrangers, tant en Europe qu'au sein de I'Alliance 
atlantique et dans les zones d'interet strategique ; 

favoriser {'emergence d'une communaute nationale de cyberdefense en s'appuyant sur un 
cercle de partenaires et les reseaux de la reserve. 

41 . L'une des actions concretes qui emergent du "Facte Defense Cyber" est que les effectifs du 
Pole d'excellence en cyberdefense en Bretagne seront quasiment doubles (de 250 a environ 450) 
en I'espace de quelques annees. Cela signifie que la France est en train de se rapprocher des 
autres acteurs europeens en ce qui concerne les competences en matiere de cyberdefense. Une 
autre innovation recente au niveau des institutions de I'Etat est la creation d'un poste de 
« cyberprefet » au ministere de I'lnterieur. Le cyberprefet sera charge de coordonner le plan 
d'action du ministere sur le renseignement economique, qui vise a proteger les industries 
frangaises centre le cyberespionnage. 

42. Le Livre blanc de 2013 sur la defense et la securite nationale a egalement pour objectif de 
moderniser et de renforcer la cyberdefense frangaise a I'egard des infrastructures essentielles, a 
I'heure ou I'Etat vise a instaurer une reglementation centralisee. Faisant reference aux operateurs 
des systemes d'information d'importance vitale, le document precise que « I'Etat fixera, par un 
dispositif legislatif et reglementaire approprie, les standards de securite a respecter a I'egard de la 
menace informatique et veillera a ce que les operateurs prennent les mesures necessaires pour 
detector et traitor tout incident informatique touchant leurs systemes sensibles » 
(Republique frangaise, 2013). La France a done recemment adopte, dans la loi de programmation 
militaire pour 2014-2020, des dispositions bien precises incluant des normes en matiere de 
cybersecurite applicables plus particulierement aux reseaux publics et aux operateurs des 
infrastructures essentielles privees. Conformement au Livre blanc de 2013, la nouvelle loi enonce 
quatre principes novateurs concernant la cybersecurite des operateurs d'importance vitale (OIV). 
L'ANSSI : 

peut fixer des regies de securite obligatoires pour les systemes essentiels des OIV ; 
doit etre informee des incidents qui se produisent sur les systemes essentiels des OIV ; 
peut demander des controles de securite ; 

peut demander des mesures specifiques en cas de crises majeures. 
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C. L'ALLEMAGNE 

43. En fevrier 2011, le gouvernement federal allemand a adopte une strategie nationale sur la 
cybersecurite. La meme annee, le pays a ajoute aux lignes directrices de sa politique de defense 
un volet relatif a la cyberdefense et la cybersecurite, en indiquant que les cyberattaques 
constituent « une menace asymetrique aux consequences graves >> (Ministere federal allemand de 
la Defense, 2011). Dans le domaine de la cyberdefense, les menaces jugees les plus 
dangereuses par I'Etat allemand sont le terrorisme, les activites criminelles et la guerre, les 
catastrophes naturelles, la defaillance technique ou I'erreur humaine (Robinson etal., 2013). 

44. La strategie de I'Allemagne en matiere de cybersecurite insiste en particulier sur la necessite 
de proteger les infrastructures essentielles d'information, de renforcer la cybersecurite des 
reseaux de I'administration publique, de mettre en place un controle efficace des infractions 
commises dans le cyberespace, et de conclure des partenariats au sein de I'Europe et a rechelle 
mondiale pour mieux coordonner la cybersecurite. Cette strategie met en fait I'accent sur le fait 
que la cybersecurite requiert des efforts a la fois au niveau national et avec les partenaires 
internationaux. Par ailleurs, compte tenu du defi commun que representent les cybermenaces 
pour I'Etat, I'lndustrie et la societe, le postulat sur lequel s'appuie la strategie est qu'une 
cybersecurite reussie depend de la collaboration entre toutes les parties prenantes. 

45. En Allemagne, le concept de souverainete technologique fait depuis plusieurs annees des 
adeptes au sein du gouvernement. Apres la revelation de I'espionnage perpetre par les 
Etats-Unis, la question a ete mise au premier plan des debats publics et occupe aujourd'hui une 
grande partie du debat national sur la cybersecurite. La souverainete technologique a egalement 
ete explicitement abordee lors de la presentation du Programme numerique du gouvernement 
(Bendiek, 2014). Premier document de ce type en Allemagne, ce programme prevoit d'etendre 
I'acces a I'lnternet haut debit sur tout le territoire national a I'horizon 2018, et d'accroitre le rythme 
de creation de societes specialisees dans les technologies de I'information (a raison de 15 000 par 
an, centre 10 000 actuellement). Un aspect tres important, dans le cadre du present rapport, est 
que le gouvernement allemand s'interesse specifiquement a I'amelioration de la securite des 
donnees. La publication du Programme numerique a eu lieu en meme temps que celle d'une 
nouvelle version de la loi du ministere federal de I'lnterieur sur la cybersecurite, dont le but est 
d'ameliorer sensiblement en Allemagne la securite des systemes faisant appel aux technologies 
de I'information (EurActiv, 2014a). 

46. Sur le plan politique, le Conseil national de la cybersecurite - qui se situe au niveau des 
secretaires d'Etat- traite des questions de cybersecurite, notamment les aspects relatifs a la 
politique de securite, economique, de defense et des affaires etrangeres. Ce conseil a pour tache 
de coordonner les outils de prevention ainsi que les approches interdisciplinaires de la 
cybersecurite mises en oeuvre par les secteurs public et prive. Les reunions de ce conseil ont 
done lieu en presence non seulement de la chancellerie federale et des representants des Lander 
federaux, mais aussi d'un secretaire d'Etat de chacun des ministeres federaux suivants : Affaires 
etrangeres, Interieur, Defense, Economie et Technologies, Justice, Finances et Education et 
Recherche. Des representants du monde de I'entreprise sont en outre regulierement invites en 
tant que membres associes. Pour soutenir cette approche politique d'ensemble, une plateforme 
de cooperation et d'echange d'informations - rAlliance pour la cybersecurite - a ete creee en 
octobre2012. Cette alliance permet une cooperation etroite entre les partenaires des milieux 
economiques, universitaires et administratifs, ainsi qu'avec les entreprises presentant un interet 
public particulier (Gouvernement federal allemand, 2014). 

47. Sur le plan des services, le Bureau federal pour la securite de I'information (BSI), cree en 
1991, est le principal prestataire de services de securite dans le domaine des technologies de 
I'information en Allemagne. En sa qualite d'organisme independant de consultation et de soutien 
pour la securite des systemes faisant appel aux technologies de I'information, le BSI joue 
egalement le role de centrale de notification des incidents y afferents. Ses taches consistent 
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principalement a emettre des avertissements sur les vulnerabilites des produits et services 
qu'offrent les teclinologies de I'information, a diffuser des informations aupres des parties 
concernees et du grand public, et a recommander des mesures de protection. Des 1994, le BSI 
avait cree une CERT pour les organismes federaux, la « CERT-Bund ». Cette CERT nationale 
fonctionne comme une plateforme et un point de contact centralise pour connaTtre les mesures de 
prevention et de reactions qu'il faut appliquer en cas d'incident lie a la securite informatique. 
Depuis 2006, une CERT citoyenne (St/rgeA'-CERT) intervient aupres du grand public et des petites 
entreprises pour les sensibiliser aux menaces du cyberespace (Bureau federal allemand pour la 
securite de I'information, 2013). 

48. Tout en reconnaissant qu'une cyberattaque menee centre une infrastructure de 
telecommunication essentielle peut causer plus de mal qu'une attaque physique, I'Allemagne 
maintient que le terme de « cyberguerre » est trompeur, car il suppose le scenario improbable 
d'une menace existentielle lancee centre un Etat par d'autres Etats par le seul biais d'attaques 
ciblees centre des systemes informatiques. Dans ses lignes directrices de defense, rAllemagne 
suppose au contraire que le cyberespace n'est que I'une des options utilisables par des 
adversaires militaires dans un contexte general de guerre. Elle considere done le cyberespace 
comme un champ d'operations militaires. Un aspect tres important de ces lignes directrices est 
que les strategies politico-militaires classiques sent considerees comme inadaptees face aux 
risques que represente le cyberespace. Des approches alternatives sent done preconisees, 
I'accent etant mis sur la necessite de renforcer la resilience aux cyber attaques, d'etablir un cadre 
juridique clair pour I'utilisation des systemes d'information et de communication, et favoriser un 
engagement national fort en favour de mesures visant a retablir la confiance (Gouvernement 
federal allemand, 2014). 

49. S'appuyant sur le Plan national de 2005 pour la protection des infrastructures de 
I'information, le gouvernement federal a adopte en 2009 une strategie pour la protection des 
infrastructures essentielles, qui prone une relation de cooperation entre les autorites publiques et 
les operateurs prives de ces infrastructures (Dolle, 2014). Bien que cette strategie repose sur la 
volonte des entreprises de renforcer leurs niveaux de protection, le gouvernement allemand se 
reserve le droit de legiferer si les entreprises ne prennent pas les dispositions necessaires. Par 
ailleurs, le Centre national de situation sur les technologies de I'information, gere par le BSI, se 
tient au courant de la situation nationale et mondiale au regard de la securite des systemes de 
technologies de I'information. Dans I'eventualite d'une crise, ses capacites sent elargies et il 
devient un Centre national de reaction en cas de crise, capable d'intervenir y compris sur les 
reseaux et les infrastructures essentielles de I'Etat (Gouvernement federal allemand, 2014). La 
nouvelle version de la loi sur la cybersecurite propose des normes minimales pour la cybersecurite 
des entreprises presentant une importance vitale, ainsi qu'une obligation de rendre compte des 
« importants incidents de securite survenant sur les systemes de technologies de rinformation», 
en demandant aux fournisseurs d'acces Internet et aux operateurs des reseaux de 
telecommunications publics qu'ils elevent le niveau des normes de securite (Zeldin, 2014). 

D. LE ROYAUME-UNI 

50. Au Royaume-Uni, les cybermenaces sent classees au niveau un (le plus eleve) des risques 
pour la securite nationale. Le marche de I'lnternet y est estime a 82 milliards de livres sterling par 
an, et un pourcentage inquietant - 93 % - des grandes entreprises ont subi une cyberattaque de 
leur reseau au cours du dernier exercice budgetaire (House of Commons, 2014). 

51. En novembre2011 le gouvernement britannique a publie une strategie nationale sur la 
cybersecurite. Allouant une enveloppe de 860 millions de livres pour ameliorer la reaction du 
Royaume-Uni face aux cybermenaces, cette strategie expose la vision gouvernementale « d'un 
cyberespace dynamique, sur et robuste » et definit un cadre pour « ameliorer la prosperite, la 
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securite nationale et la solidite de la societe » (Gouvernement britannique, 2014). Quatre objectifs 
cles y sont enonces : 

s'attaquer a la cybercriminalite et faire du pays I'un des lieux les plus surs au monde pour 
mener des activites commerciales dans le cyberespace ; 

rendre le pays plus resilient aux cyberattaques et mieux prepare a proteger les interets 
nationaux dans le cyberspace ; 

creer un cyberespace ouvert, stable et dynamique, qui puisse etre utilise en toute securite 
par le grand public et qui permette le developpement de societes ouvertes ; 
acquerir les competences et les capacites necessaires pour atteindre tous les objectifs en 
matiere de cybersecurite. 

Le Programme national sur la cybersecurite (NCSP) du Cabinet Office coordonne et finance les 
travaux engages par les ministeres pour mettre en ceuvre les objectifs de la strategie. 

52. Du point de vue organisationnel, le Bureau de la cybersecurite et de la protection des 
informations (OCSIA), qui se situe au niveau du Cabinet, est charge d'aider le ministre du Cabinet 
Office et le Conseil de securite national a definir des priorites au regard de la securisation du 
cyberespace. L'OCSIA est charge de fournir des orientations strategiques pour la politique 
gouvernementale en la matiere, ainsi que d'ameliorer la cybersecurite et la protection des 
informations au Royaume-Uni. II collabore avec d'autres grands ministeres et organismes publics 
tels que le Home Office, le ministere de la Defense (MOD), le Government Communications 
l-leadquarters, la Direction de la securite electronique/des communications, le Centre pour la 
protection des infrastructures nationales (CPNI), le Bureau des Affaires etrangeres et du 
Commonwealth, ainsi que la Direction des entreprises, de innovation et des competences. 

53. Le CPNI fournit des conseils en matiere de securite concernant le materiel, le personnel et 
les informations des infrastructures nationales essentielles. Le gouvernement britannique classe 
les infrastructures en fonction de I'impact que produirait leur defaut de fonctionnement. II utilise 
pour cela une « echelle de mesure de I'importance vitale » qui s'appuie sur trois criteres : I'impact 
sur la fourniture des services essentiels de la nation, I'impact economique (du a la non-fourniture 
d'un service essentiel) et i'impact sur la vie humaine (du a la non-fourniture d'un service essentiel) 
(CPNI, 2014). Dans la mesure ou une grande partie des infrastructures britanniques sont 
detenues et gerees par le secteur prive, I'une des missions cles du CPNI est de fournir conseils et 
assistance aux entreprises presentant une importance vitale. 

54. La CERT-UK a ete creee fin mars 2014, suite au regroupement dans un seul cadre de 
gestion de I'equipe de reaction aux incidents en matiere de cybersecurite et du Partenariat pour le 
partage des informations sur la cybersecurite (CISP). Pour encourager la cooperation entre les 
acteurs du secteur public et de I'industrie, le CISP fonctionne comme une plateforme en ligne, en 
fournissant des informations sur les menaces et les incidents en matiere de securite. Grace a ce 
partenariat, les organisations participantes peuvent diffuser rapidement des informations 
importantes telles que des details sur un type particulier de cyberattaque. La CERT-UK travaille en 
association avec d'autres CERT gouvernementales comme GovCertUK (qui aide les organisations 
du secteur public a reagir en cas d'incidents) et MODCERT (qui coordonne les actions du MOD 
lors des incidents) (Pritchard, 2013). La CERT-UK est censee cooperer avec les pouvoirs publics 
et I'industrie en cas d'incidents de cybersecurite survenant a I'echelle nationale. Elle tente 
egalement d'etablir des partenariats avec d'autres Etats et leur CERT (comme par exemple le 
NCCIC americain) aux niveaux bilateral et multilateral, et organise des cyber exercices 
internationaux pour ameliorer la connaissance commune des cybermenaces (Gouvernement 
britannique, 2014). Ainsi, le Sommet mondial sur I'innovation et la cybersecurite lance recemment 
par le Security Information Network (SINET) a pour but d'etablir des partenariats public-prive 
internationaux visant a ameliorer la protection des infrastructures essentielles, ainsi que la defense 
des interets economiques et lies a la securite du Royaume-Uni et des Etats-Unis. 
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55. Le Partenariat pour la cyberprotection du secteur de la defense (DCPP) est, au sein du 
MOD, Tequivalent sur le plan organisationnel du CISP. Le secteur de la defense faisant I'objet de 
cyberattaques et d'inciclents plus sophistiques, le DCPP a pour mission d'accroitre la 
sensibilisation aux cyber-risques d'un bout a I'autre de la chaTne logistique du secteur, d'ameliorer 
la cooperation entre les pouvoirs publics et I'industrie, et de permettre aux participants du secteur 
prive de s'aider les uns les autres grace au partage d'informations (Pritchard, 2013). De son cote, 
la MOD-CERT reagit aux incidents de securite qui touchent les systemes informatiques du MOD, 
et mene des actions pour reduire la vulnerabilite de ces systemes aux cybermenaces. Un 
Joint Forces Cyber Group a egalement ete cree au MOD pour accroTtre les capacites de defense 
de ce ministere dans le cyberespace. 



E. L'ESTONIE 

56. En 2007, I'Estonie a fait I'objet d'une cyberattaque qui, en termes d'ampleur et de cibles 
touchees, etait sans precedent. Tous les serveurs informatiques des institutions de I'Etat, des 
grandes banques privees, societes de telecommunications, organes d'informations et autres 
acteurs majeurs ont, a cette epoque, ete vises (Davis, 2007). Si cette attaque n'a pas cause de 
dommage physique ni de prejudice economique majeur, elle a en revanche donne lieu a un 
reexamen complet de la securite des services electroniques de I'administration estonienne, et 
incite a une intensification des mesures de securite. Elle a egalement imprime une impulsion 
vigoureuse aux autres Etats et organisations Internationales aux fins qu'ils poursuivent leurs 
efforts en matiere de cybersecurite. 

57. La strategie de I'Estonie en matiere de cybersecurite pour 2014-2017 s'appuie sur le 
precedent document strategique, qui s'appliquait a la periode 2008-2013. Quatre objectifs 
importants ont, a cet egard, ete definis (ministere estonien des Affaires economiques et de la 
Communication, 2014a ; 2014b) : 

mettre en place un ensemble complet de mesures pour assurer la cybersecurite a Techelle 
nationale ; 

atteindre un niveau tres eleve de sensibilisation et de competence en matiere de securite 
des informations ; 

Continuer a mettre au point des reglementations adaptees permettant une utilisation sure et 
etendue des systemes d'information ; 

Promouvoir la cooperation Internationale dans le domaine de la cybersecurite et en assumer 
le role pilote. 

58. En Estonie, la coordination de la strategie en matiere de cybersecurite est assuree non plus 
par le MOD mais, depuis 201 1 , par le ministere des Affaires economiques et de la Communication 
(MAEC) ; la raison de ce changement est que la majeure partie des infrastructures de 
communication utilisees par les citoyens et les institutions de I'Etat appartiennent a des 
entreprises privees (Raud, 2012). Le MAEC est egalement charge de reglementer les services de 
communication et de fournir certains services vitaux (par exemple au secteur de I'energie), ce qui 
lui confere un statut unique au regard des infrastructures essentielles publiques. 

59. La cooperation institutionnelle est tres importante en matiere de cybersecurite, raison pour 
laquelle le MAEC collabore avec I'ensemble des autres ministeres, en particulier ceux de 
I'lnterieur, de la Defense, des Affaires etrangeres, ainsi que de I'Education et la Recherche. Une 
cooperation approfondie s'opere egalement avec le Centre international d'etudes sur la defense 
(iCDS) - un organisme de recherche sur les politiques publiques - et la cyber-unite de la Ligue de 
defense estonienne - une organisation de defense nationale composee de volontaires. Le MAEC 
supervise les travaux de I'Autorite estonienne des systemes d'information (EISA), qui met au 
point des strategies et des orientations en matiere de cybersecurite et controle la mise en ceuvre 
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des mesures de protection des systemes d'information et des sources de services publics 
essentiels. L'EISA assure la gestion de la CERT-Estonie et coopere etroitement avec d'autres 
CERT du monde entier en communiquant des informations sur les violations de donnees et en 
emettant des alertes relatives aux menaces liees a la securite. 

60. Au niveau de I'Etat, la cooperation entre les diverses institutions et le secteur prive est 
assuree par le Conseil pour la cybersecurite, cree en 2009 au sein du Comite de securite du 
gouvernement estonien (Ministere estonien des Affaires economiques et de la Communication, 
2014a). Ce Conseil controle la mise en oeuvre des objectifs enonces dans les strategies de 
I'Estonie en matiere de cybersecurite. II est preside par le secretaire general du MAEC. 

61 . La cooperation nationale et Internationale de I'Estonie pour Tamelioration de la cybersecurite 
concerne trois domaines : la protection des infrastructures et des services d'importance vitale, la 
cybercriminalite et la defense nationale. Ces trois domaines etant lies entre eux, le but ultimo est 
d'assurer la continuite et la sauvegarde des processus de gouvernance, notamment la protection 
des infrastructures essentielles et la mise en place de solutions alternatives a I'aide de 
technologies innovantes. L'Estonie accorde une attention toute speciale a I'education de ses 
citoyens et a leur sensibilisation, en particulier sur la question de la cybercriminalite. 

F. L'OTAN 

62. C'est au Sommet de Prague en 2002 que la cyberdefense a ete inscrite pour la premiere 
fois a I'ordre du jour politique de I'OTAN. Le sujet a ensuite suscite un interet majeur apres les 
cyberattaques dont a ete victime I'Estonie en 2007, puis la Georgie en 2008 dans le cadre du 
conflit avec la Russie. Ces attaques ont mis en evidence la necessite de prendre des mesures 
pour consolider les cyberdefenses au sein de I'Alliance dans son ensemble ; la premiere politique 
officielle de I'OTAN sur le theme de la cyberdefense a ete adoptee en janvier 2008. Elle a ete 
revisee en 201 1 et un plan d'action pour sa mise en oeuvre a ete decide par I'Alliance. On compte 
a I'heure actuelle quelque 600 tentatives quotidiennes d'intrusion dans les reseaux de I'OTAN, et 
des attaques serieuses ont lieu toutes les trois a quatre semaines. Mis a part ces chiffres, la 
notion de « guerre hybride » - qui a ete mise en application tres recemment par la Russie en 
Ukraine, notamment par des actes tres sophistiques de cyberespionnage - montre a quel point 11 
est important pour I'OTAN d'adopter une approche globale a I'egard des cyberattaques 
(Jones, 2014). Les ministres de la Defense des pays de I'OTAN ont, de fait, adopte lors du 
Sommet au Pays de Galles en 2014 une politique de cyberdefense renforcee s'inscrivant dans le 
cadre de la defense collective. II en resulte - et c'est un point tres important - que les 
cyberattaques constituant une menace pour la securite des Etats et de la zone euro-atlantique 
pourront a I'avenir etre considerees par I'Alliance comme I'equivalent d'une attaque armee 
classique. La declaration du Sommet stipule done explicitement, pour la premiere fois, que les 
cyberattaques relevent du champ d'application de I'article 5 du Traite de Washington. Les autres 
points importants de la nouvelle politique de cyberdefense de I'OTAN sent notamment la 
determination a appliquer le droit international au cyberespace, rintensification de la cooperation 
de I'OTAN avec les acteurs de I'industrle, et le developpement d'une capacite OTAN utilisable 
dans le cyberespace. 

63. L'axe central de la politique de cyberdefense de I'OTAN est la protection des systemes 
d'information et de communication lui appartenant : les reseaux installes a son siege, dans ses 
agences et sur le lieu de ses missions a I'^tranger. L'objectif principal de I'OTAN est done 
d'ameliorer la prevention des attaques et la robustesse des systemes, mais aussi d'eviter la 
duplication de ses efforts avec ceux deployes au niveau national ou multinational. La mission de 
cyberdefense est confiee au Centre technique de la capacite OTAN de reaction aux incidents 
informatiques (NCIRC), qui a beneficie d'une enveloppe de 58 millions d'euros pour moderniser 
ses services et est pleinement operationnel depuis mai 2014. Le NCIRC a pour mission de fournir 
une protection renforcee aux reseaux de I'OTAN et a leurs utilisateurs. II forme par exemple des 
equipes de reaction rapide, capables d'intervenir sur les reseaux faisant I'objet d'une attaque dans 
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un delai de cinq lieures. Cela veut done dire que dans les procedures actuelles de demande par 
les Etats membres de deploiement de ces equipes, les consultations politiques ralentissent le 
processus decisionnel et risquent de rendre irrealisable I'objectif d'une reaction efficace de I'OTAN 
en cas de cyberattaque centre un Allie (Jordan, 2014). Dans le cas d'une cyberattaque, le Conseil 
de I'Atlantique Nord decidera au cas par cas de I'invocation de I'article 5 du Traite. L'OTAN 
maintient en fait une « ambiguTte strategique » et une flexibilite sur la question des moyens a 
employer pour reagir aux differents types de crises survenant dans le cyberespace. Un aspect tres 
important est que rAlliance n'a pas specifie quels types d'attaques justifieraient I'invocation de la 
clause de defense collective, ni quelle forme prendrait la riposte. 

64. D'un autre cote, I'Ailiance est consciente de la dimension planetaire du cyberespace et des 
menaces qui y sont associees, et ne limite pas sa politique de cyberdefense a la seule protection 
de ses reseaux. L'OTAN est dans une certaine mesure extremement dependante des systemes et 
des reseaux d'information de certains de ses pays membres, raison pour laquelle elle travaille en 
collaboration avec eux pour mettre au point des exigences minimales en matiere de cyberdefense. 
L'OTAN continuera par ailleurs a jouer un role de facilitatrice et a fournir un cadre d'assistance 
mutuelle entre les Allies - consistant principalement a partager des informations et des bonnes 
pratiques. Afin que chacun des Allies puisse renforcer ses propres capacites de cyberdefense et 
contribuer a la securite globale de rAlliance, le developpement de capacites de cyberdefense a 
ete integre au Processus de planification de la defense de I'OTAN. L'Alliance a egalement integre 
la cyberdefense dans de nombreux exercices ayant lieu a tous les niveaux, notamment 
strategique et sur le terrain. 

65. La cyberdefense a egalement ete integree a I'lnitiative OTAN de defense intelligente, et 
plusieurs projets collaboratifs visant a preserver et developper les capacites des Allies ont ete 
lances, parmi lesquels la plateforme Malware Information Sharing, Smart Defence Multinational 
Cyber Defence Capability Development e\ le projet multinational d'education et de formation sur la 
cyberdefense. S'agissant a cet egard du volet educatif, I'Ecole des systemes d'information et de 
communication de I'OTAN, installee a Latina en Italie (qui demenagera a Oeiras au Portugal en 
2016 et deviendra I'Ecole des systemes d'information et de communication et de la cyberdefense), 
I'Ecole de I'OTAN a Oberammergau en Allemagne, ainsi que le College de defense de I'OTAN 
base a Rome delivrent des formations sur la cyberdefense (OTAN, 2014). Le cyberpartenariat 
OTAN-industrie, avalise lors du Sommet au Pays de Galles et recemment mis en place, permettra 
de renforcer les relations avec I'industrie. L'objectif premier de ce partenariat sera de faciliter 
I'acces aux Innovations technologlques et a I'expertise du secteur prive. II reunira des entites de 
I'OTAN, des CERT natlonales et des representants de I'industrie des pays allies. 

66. Au niveau multinational, I'OTAN et ses differents membres travalllent en collaboration avec 
des partenaires, des organisations Internationales, des universitaires et des entites privees dans le 
but de promouvoir la complementarite et d'eviter les doublons. Le Centre d'excellence pour la 
cyberdefense en cooperation (CCD COE), implante a Tallinn (Estonie) et homologue par I'OTAN, 
est un bon exemple de la mise en pratique de la collaboration precitee. Les centres d'excellence 
homologues par I'OTAN ne font pas partie de la structure de commandement de I'Ailiance, mais 
sont des organisations militaires Internationales qui lui apportent leur soutien. Specialise dans la 
formation et la recherche-developpement, le CCD COE se destine a devenir la principale source 
d'expertise dans le domaine de la cyberdefense collaborative au sein de rAlliance et de ses 
partenariats. Sur invitation du CCD COE, un groupe international d'experts a elabore le manuel 
de Tallinn sur le droit international applicable a la cyberguerre {Tallinn Manual on the International 
Law Applicable to Cyber Warfare), qui est I'etude la plus complete sur le sujet en acces libre. Ce 
manuel devrait etre suivi par un second volume qui expliquera « les possibilites dont disposent les 
Etats, en vertu du droit international, pour reagir aux cyberattaques d'autres pays » (Hale, 2014b). 
Le CCD COE organise egalement chaque annee un exercice de defense du reseau en temps 
reel, baptise Locked Shields. En mars 2014, cet exercice a rassemble pres de 300 participants de 
1 7 pays, signe de la preoccupation croissante des Allies a I'egard de la cybersecurite, ainsi que du 
role crucial du CCD COE (Apps, 2014). 
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67. Si le role de I'OTAN en matiere de cyberdefense et de protection des reseaux militaires est 
clair, celui concernant la defense des infrastructures essentielles centre les cybermenaces n'est 
pas vraiment defini. En tant qu'alliance politico-militaire intergouvernementale, I'OTAN n'est pas 
habilitee a gerer les infrastructures civiles ou privees. Sa strategie en matiere de cyberdefense 
souligne I'importance de la cooperation avec les Allies pour mettre au point des exigences 
minimales applicables aux systemes et reseaux d'information nationaux d'importance vitale qui 
sent connectes a I'OTAN ou traitent des informations OTAN essentielles pour les taches 
fondamentales de celle-ci. Cela dit, au-dela d'une assistance pour renforcer les capacites de 
cyberdefense a I'egard de ces systemes et ces reseaux, I'OTAN n'est pas habilitee a elaborer une 
strategie concernant la protection des infrastructures essentielles. Elle a neanmoins conscience 
de la gravite des consequences eventuelles d'une cyberattaque coordonnee centre des 
infrastructures essentielles, et certains appellent a ce qu'elle reflechisse au role qu'elle pourrait 
jouer pour proteger ces infrastructures. La conference OTAN de 2012 sur les defis de securite 
emergents en Europe, a par exemple conclu que « I'OTAN doit participer, au cote d'autres parties 
prenantes, au debat concernant la fagon de proceder pour evaluer les vulnerabilites de premiere 
gravite, fournir des formations et un enseignement, et comprendre/prevenir les menaces » 
(Division Defis de securite emergents de I'OTAN, 2012). Tandis que le CCD COE de Tallinn mene 
a cet egard des travaux constructifs, I'OTAN n'en est encore qu'aux premices d'une reflexion sur 
le role qu'elle pourrait jouer au regard de la protection des infrastructures essentielles centre les 
cybermenaces. S'agissant des Allies europeens, la cyberprotection des secteurs d'importance 
vitale sera bientot regie par une reglementation de I'UE ayant trait a la securite des reseaux et de 
I'lnformation (ou Directive SRI, voir plus bas). 

G. L'UNION EUROPEENNE 

68. La Commission europeenne, associee a la Haute Representante de I'UE pour les 
Affaires etrangeres et la Politique de securite, a publie le 7fevrier 2013 la strategie de 
cybersecurite de I'UE. Sous-titree « Un cyberespace ouvert, sijr et securise », cette strategie 
s'applique aux reseaux tant publics que prives et a pour but de « preserver un environnement en 
ligne offrant le degre de liberte et de securite le plus eleve possible dans I'interet de tous » 
(Commission europeenne, 2013a). Tout en reconnaissant que « c'est aux Etats membres qu'il 
incombe en premier lieu de traitor les problemes de securite dans le cyberespace », ce document 
propose toutes sortes d'actions et d'outils strategiques impliquant les institutions europeennes, les 
Etats membres et les entreprises privees, dans le but d'ameliorer les performances globales de 
I'UE. La vision de I'UE exposee dans cette strategie s'articule autour de cinq priorites : 

parvenir a la cyber-resilience ; 

faire reculer considerablement la cybercriminalite ; 

developper une politique et des moyens de cyberdefense lies a la politique de securite et de 
defense commune (PSDC) ; 

developper les ressources industrielles et technologiques en matiere de cybersecurite ; 
instaurer une politique Internationale de I'Union europeenne coherente en matiere de 
cyberespace et promouvoir les valours essentielles de I'UE. 

69. Bien qu'une seule des cinq priorites ci-dessus concerne specifiquement le secteur de la 
defense, dans la mesure ou les cybermenaces sent souvent multiformes, 11 est entendu qu'« il faut 
developper des synergies entre les approches civile et militaire de la protection des 
cyberinfrastructures critiques » (Commission europeenne, 2013a). En definitive, I'UE en est au 
debut de la conception et de la mise en oeuvre d'une strategie globale en matiere de 
cybersecurite. La situation devrait considerablement progresser en 2014-2015, avec I'adoption de 
la Directive SRI - en cours de negociation -, qui vise a garantir un niveau eleve et commun de 
securite des reseaux et de I'information au sein de I'UE. Cette directive aura plus particulierement 
pour objectif : 
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d'aider les Etats membres a mettre au point des politiques, des organisations et des 
capacites nationales pour reagir face a la cybermenace (mise en place d'une CERT 
nationale, definition d'une strategie en matiere de cybersecurite) ; 

de mettre en place des mesures importantes pour renforcer la cyberprotection des 
infrastructures d'importance vitale au sein de chaque Etat membre (obligation de notification, 
mesures de securite minimales) ; 

de fournir un cadre de cooperation durable entre les Etats membres, tant sur le plan 
politique qu'operationnel. 

70. De maniere plus generale, I'objectif de I'UE est de reduire les vulnerabilites des 
infrastructures essentielles et d'accroTtre leur resilience, de maniere a limiter autant que possible 
« les effets nefastes des perturbations pour la societe et les citoyens >> (Commission europeenne, 
DG Affaires interieures, 2013). La protection des infrastructures essentielles vise done tous les 
types de menaces et de risques, dont la cybermenace. Le document de travail de la Commission 
sur une nouvelle approche du programme europeen de protection des infrastructures critiques 
(aout2013) simplifie la politique en vigueur dans trois domaines : prevention, preparation et 
reaction. La strategie de cybersecurite de I'UE y est decrite comme une source « d'actions qui 
favoriseront une meilleure cyber-resilience et une plus grande protection des infrastructures 
concernees [par le programme europeen de protection des infrastructures critiques] » 
(Commission europeenne, 2013b). 

71. S'agissant de la PSDC, le Conseil europeen a, en 2013, appele a I'elaboration d'un cadre 
d'action de I'UE en matiere de cyberdefense. Ce cadre, qui sera prepare par la 
Haute Representante de I'UE pour les Affaires etrangeres et la Politique de securite, en 
collaboration avec la Commission et I'Agence europeenne de defense (AED), a pour but de 
favoriser (Conseil de I'Europe, 2013) : 

« le developpement des capacites de cyberdefense des Etats membres, de la recherche et 
des technologies grace a I'elaboration et a la mise en oeuvre d'une feuille de route globale 
pour le renforcement des capacites en matiere de cyberdefense ; 

le renforcement de la protection des reseaux de communication au service des structures, 

missions et operations dans le cadre de la PSDC ; 

I'integration de la cybersecurite dans la gestion des crises de I'UE ; 

la sensibilisation grace a I'amelioration des possibilites de formation, d'education et 
d'exercice offertes aux Etats membres ; 

le developpement de synergies avec des cyberpolitiques plus generales de I'UE et tous les 
autres acteurs et agences competents en Europe, tels que I'Agence de I'UE chargee de la 
securite des reseaux et de I'information ; 

la cooperation avec les partenaires internationaux pertinents, notamment I'OTAN, le cas 
echeant. » 

72. La politique de I'UE relative a la protection des reseaux des Etats membres associes a la 
securite nationale et aux institutions militaires est done congue comme un cadre favorisant la 
collaboration entre les gouvernements nationaux et I'AED, en coordination avec la PSDC. L'UE 
reconnaTt cependant « qu'un cyberincident ou une cyberattaque particulierement grave pourrait 
constituer un motif suffisant pour qu'un Etat membre invoque la clause de solidarite de I'UE ». 

73. Les organisations de I'UE telles que I'Agence de I'Union europeenne chargee de la securite 
des reseaux et de I'information (ENISA) et la CERT des institutions europeennes (CERT-EU) ont 
pour but de coordonner et soutenir les activites nationales. Ainsi, dans le but de faciliter la 
cooperation et la coordination, I'ENISA a encourage chaque Etat membre a creer, avec le soutien 
gouvernemental, une seule CERT nationale ; elle a egalement publie un ensemble de normes 
minimales en matiere de capacites que les Etats sont tenus de respecter (Pritchard, 2013). En 
avril2014, I'ENISA a invite plus de 200 organisations (dont des compagnies energetiques, des 
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operateurs de telecommunications et des professionnels de la securite) a participer a 
Cyber Europe 2014, un exercice visant a determiner comment les Etats peuvent, ensemble, lutter 
centre une menace transfrontiere de grande ampleur (Hale, 2014a). De maniere generale, I'UE 
vise, via I'ENISA, a fournir a ses Etats membres un cadre d'echange d'informations et de bonnes 
pratiques sur la cybersecurite. 

74. La CERT-EU a ete creee en 2012 pour fournir aux institutions, organes et agences de I'UE 
une capacite commune en matiere de defense des reseaux. Son role est done d'aider les 
institutions de I'DE en cas d'atteinte a la cybersecurite. La CERT-EU n'est pas habilitee a 
coordonner ou soutenir les activites menees a Techelle nationale. Elle est I'equivalent, a I'UE, du 
NCIRC de I'OTAN. 



IV. CONCLUSION 

75. Les menaces a la securite nationale provenant du cyberespace sent une grave 
preoccupation pour I'ensemble des pays qui font une utilisation massive des reseaux et systemes 
informatiques. Les formes les plus graves de criminalite, de terrorisme, d'espionnage et de 
sabotage cybernetiques, voire les cyberattaques commises par des acteurs etatiques, feront 
partie du paysage courant de I'environnement strategique futur. Toutes les initiatives militaires 
incluront a I'avenir des cybercapacites. Ces difficultes conferent a la gestion de la securite 
Internationale un niveau de complexite totalement inedit. Elles ne sent toutefois pas aussi 
insurmontables que le pretendent certains, si tant est que les gouvernements et les 
proprietaires/operateurs des infrastructures essentielles deploient tous les efforts necessaires. 
Une bonne cyberdefense doit etre le fondement des strategies nationales. Sans cela, la 
cyberdissuasion et Teventuelle maitrise des cyberarmes ne fonctionneront pas. Dans le contexte 
du cyberespace, la dissuasion et la maitrise des armes continuent de poser aux responsables 
politiques de nombreuses et difficiles questions. II conviendra d'y repondre si Ton veut consolider 
les efforts en matiere de cybersecurite. En fait, la priorite doit etre, pour chaque Etat, de se 
concentrer d'abord sur la cyberdefense puis, lorsqu'un niveau durable aura ete atteint a cet egard, 
de s'orienter s'il le souhaite vers la mise en place de cybercapacites offensives et la maTtrise des 
cyberarmes. 

76. Les efforts en matiere de cybersecurite sent avant tout une responsabilite nationale que les 
Etats doivent endosser. Cela est particulierement vrai au sein d'une alliance, car les 
cybermenaces ne connaissent pas de frontieres. II existe, a I'heure actuelle, des ecarts importants 
entre les capacites de cyberdefense dont disposent les differents pays membres de I'OTAN. A 
moyen ou long terme, cela peut avoir de graves consequences et cree, de fait, une situation 
intenable : une attaque prenant pour cibles des Allies possedant peu de capacites en matiere de 
cybersecurite peut avoir des effets desastreux sur les Allies qui ont, eux, beaucoup investi dans le 
domaine. Une cybermenace visant I'un des pays de I'OTAN pourrait done porter prejudice a 
I'ensemble des Allies. II est, par consequent, imperatif que tous les Allies continuent a accroTtre 
leur cybersecurite au niveau national. L'integration en cours des capacites de cyberdefense dans 
le Processus de planification de la defense de I'OTAN est, a cet egard, une bonne nouvelle. A 
mesure que les initiatives nationales suivent leur cours, la cooperation Internationale - notamment 
dans le cadre de I'OTAN et de I'UE - presente un important potentiel encore inconnu et inexploite. 
En 2014, I'OTAN a mis au point une strategie en matiere de cyberdefense et I'UE est en train de 
faire de meme ; ces strategies permettront d'ameliorer notre securite collective et individuelle. Les 
delais de reaction etant d'une importance cruciale en cas de cyberattaque, les Etats membres de 
rAlliance et de I'UE devraient s'efforcer de simplifier les processus de decision des instances 
politiques, afin que I'application au cyberespace des principes de defense collective soit 
pleinement efficace. II serait toutefois premature, a ce stade, de confier davantage de prerogatives 
a I'une ou I'autre de ces deux organisations. D'une part, tous les pays ne sent pas egaux en 
matiere de cyberdefense mais, surtout, la cooperation en la matiere est encore tres complexe 
etant donne que la cybersecurite est une composante nouvelle de la politique de defense des 
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pays. Le renforcement de la cooperation ne devra avoir lieu que lorsque les autorites nationales 
auront compris la cybermenace et congu des politiques internes coherentes. II serait done 
preferable que les Etats soient davantage incites a accroTtre leur cyberdefense, pour le bien de 
tous. Les strategies de I'OTAN, de I'UE et des differents pays doivent etre etroitement 
coordonnees, non seulement pour eviter la duplication des efforts, mais aussi parce qu'il est en 
fait difficile de coordonner les strategies sur une question qui depasse souvent les frontieres 
nationales et regionales. La cybermenace n'est pas vouee a disparaitre, et les legislateurs de 
rAlliance doivent comprendre les difficultes de I'enorme defi que represente I'lntegration de la 
cyberdefense dans les politiques nationales et Internationales de la defense. 
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